Google Chrome, popular software de navegación web ha lanzado su nueva versión Google Chrome 84 estable para Windows, Mac y Linux en la que han introducido 15 correcciones de seguridad que solucionan 14 vulnerabilidades.
A continuación, se describen brevemente las vulnerabilidades que han sido calificadas como altas por Google, ya que, por el momento, se desconocen sus detalles técnicos y aún no han sido registradas en la base de datos del NIST, ni recibido puntuación de acuerdo a la escala CVSSv3:
CVE-2020-6542: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente ANGLE en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6543: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del programador de tareas en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6544: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente media en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6545: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente de audio en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6546: Vulnerabilidad debida a una incorrecta implementación del instalador en Google Chrome. Un atacante remoto podría crear una página web especialmente diseñada, engañar a la víctima para que la visite y comprometer el sistema.
CVE-2020-6547: Vulnerabilidad del tipo “spoofing attack” (ataque de suplantación) debido a una validación insuficiente de la entrada proporcionada por el usuario en los medios en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite y falsificar el contenido de la página web.
CVE-2020-6548: Vulnerabilidad del tipo “buffer overflow” (desbordamiento de búfer) dentro del componente Skia de Google Chrome que puede permitir a un atacante remoto ejecutar un código en el sistema objetivo.
CVE-2020-6549: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente media en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6550: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente IndexedDB en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6551: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente WebXR en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6552: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente Blink en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
CVE-2020-6553: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del modo offline en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.
Recursos afectados:
- Todas las versiones anteriores a Google Chrome 84.0.4147.125.
Solución a las vulnerabilidades:
Actualizar a Google Chrome 84.0.4147.125 a través del enlace que se ofrece a continuación:
En caso de dudas, se recomienda seguir las instrucciones ofrecidas por el fabricante para llevar a cabo la instalación.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, se desconocen medidas de mitigación alternativas a las propias actualizaciones lanzadas por Google para solucionar estas vulnerabilidades.
Referencias: